Organizácia informačnej bezpečnosti

Zaručenie bezpečnosti dát a informácií je úlohou odboru nazvaného informačná bezpečnosť. Máte správne zvolený organizačný rámec a stanovenie jednotlivých zodpovedností v oblasti ochrany informačných aktív?

Dátum publikácie:24. 9. 2019
Autor:Ing. Ivan Makatura

 

tt_puzzle-trojuholnik

Dáta a informácie sú v dnešnej dobe pre organizácie dôležité a pre mnohé z nich doslova natoľko kritické, že od ich kvality závisí samotná podstata ich činnosti. Zaručenie bezpečnosti dát a informácií je úlohou odboru nazvaného informačná bezpečnosť. Jednou zo základných požiadaviek pre riadenie informačnej bezpečnosti je vhodne zvolený organizačný rámec a stanovenie jednotlivých zodpovedností v oblasti ochrany informačných aktív.

Ak sa organizácia rozhodne vziať pod kontrolu bezpečnosť svojich dát a informácií, je na samom začiatku tejto cesty potrebná identifikácia úloh, ktoré môžu potenciálne súvisieť s ochranou informačných aktív. Následne je dôležité zaručiť, aby zodpovednosť za výkon špecifických bezpečnostných procesov bola jednoznačne priradená konkrétnym pracovným roliam. Prirodzene, nedá sa očakávať, že by organizácia bezprostredne presmerovala väčšinu zdrojov na bezpečnosť ako činnosť, ktorá nie je typicky jej hlavným produktom. Preto je akceptovateľné, ak sa vedenie spočiatku prikloní k minimalistickému riešeniu, pričom zodpovednosť, pôsobnosť a právomoci je vždy možné upraviť aj neskôr. Samozrejme, všetko je potrebné ošetriť vhodnými politikami. O tých však budem podrobnejšie písať v inej časti tejto série článkov.

Čo však znamená termín „organizácia informačnej bezpečnosti“? Zriadenie určitých pracovných rolí nie je ultimátnym cieľom informačnej bezpečnosti a vzhľadom na rôznorodosť činností podnikov by ani nebolo efektívne, aby boli bezpečnostné roly vynucované prostredníctvom legislatívy. Konkrétne roly v bezpečnosti sú vždy závislé od hospodárskeho odvetvia, v ktorom organizácia pôsobí, a aj od miery jej závislosti od kvality spracúvaných informácií.

Zodpovednosť vedenia

Informačná bezpečnosť by sa mala stať štandardnou súčasťou prevádzkových procesov organizácie, aby ochrana informácií nebola len formálne deklarovaná, ale aby bolo možné zabezpečiť jej reálne vykonávanie v každodennej praxi. Začlenenie bezpečnosti do prevádzkových procesov si vyžaduje dobrú spoluprácu zo strany vedenia spoločnosti, manažmentu IT, bezpečnostného manažmentu, personálu zodpovedného za samotnú informačnú bezpečnosť, vlastníkov informačných systémov, vlastníkov prevádzkových procesov, ale aj dodávateľov služieb.

Začať je potrebné u štatutárneho vedenia, ktoré riadi spoločnosť a koná v jej mene. Pokiaľ má organizácia úprimný záujem o ochranu kritických informácií, záväzok štatutárov podporovať informačnú bezpečnosť je základom pre implementáciu a trvalo udržateľný rozvoj procesu ochrany citlivých informačných aktív. Štatutári sú v zmysle zákona povinní vykonávať svoju funkciu s odbornou starostlivosťou a v záujme spoločnosti a jej spoločníkov (zákon používa aj širší pojem „náležitá starostlivosť“). Konečná zodpovednosť za ochranu majetku spoločnosti, vrátane ochrany informačného majetku, spočíva vždy na štatutárnom vedení organizácie. Táto zodpovednosť sa samozrejme týka aj zodpovednosti za riziká, ktoré pôsobia na informačné aktíva. Základnou pracovnou rolou v informačnej bezpečnosti paradoxne nie je bezpečnostný manažér ani špecialista informačnej bezpečnosti. Jednoznačne hlavnú rolu v procese informačnej bezpečnosti má štatutárne vedenie organizácie. Prinajmenšom by mala byť štatutárnym vedením schválená bezpečnostná stratégia a súbor bezpečnostných politík – to je jediný postup, ktorý zaručí, že politiky sa stanú záväzné pre všetkých zamestnancov, ako aj pre relevantné tretie strany. Štatutárne vedenie by sa tiež malo v pravidelných intervaloch začať zaujímať o stav informačnej bezpečnosti organizácie, napríklad formou správy, ktorú si nechá spracovať a predložiť od manažéra, ktorému je zverené riadenie procesu. Možnosťou je aj objednanie nezávislého posúdenia alebo auditu, ktoré vypracuje externá, odborne spôsobilá osoba. Povinnosť preveriť účinnosť prijatých bezpečnostných opatrení prostredníctvom auditu kybernetickej bezpečnosti určuje prevádzkovateľom základných služieb aj zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti.

 

Odborný článok je uvedený v skrátenom znení. Celé znenie článku:

Organizácia informačnej bezpečnosti

 

 

Pokračovanie článku je súčasťou predplateného prístupu.

Ročný prístup si môžete objednať v našom e-shope:

Výhody predplateného prístupu nájdete v časti O PORTÁLI

 

 

Chcete mať pravidelné informácie o novinkách a aktuálnej ponuke?

Prihláste sa na odber noviniek e-mailom!

Súvisiace odborné články

Súvisiace dokumenty

Súvisiace právne predpisy ZZ SR

  • 69/2018 Z. z. Zákon o kybernetickej bezpečnosti
  • 362/2018 Z. z. Vyhláška, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení

Funkcie

Partner